病毒在特定的时间才会进行真正的文件删除操作，按理来说现在1月份，应该不会出现真正的文件丢失。

但是如火绒所说，新的样本中更改了每天的毫秒数

可以参考尝试手动查杀内容进行手动的文件恢复。

基础信息

文件基础信息

• 大小: 460288 bytes
• 最后修改时间: ==2021年1月13日==, 18:46:26
• MD5: 1071D6D497A10CEF44DB396C07CCDE65
• SHA1: 71AA3A0AF1EDA821A1DEDDF616841C14C3BBD2E3
• CRC32: 07F3732F

程序基础信息

• OEP：0x0004F9A4
• 链接器版本：2.25
• 猜测编译器：Borland Delphi 6.0-7.0

• 壳：无

• 其他

  • 在资源中RC数据中发现部分特征字符串：
    • '感动中国特别奉献'
    • '中华人民共和国万岁！'
      

病毒基本行为

病毒危害

• 将除C盘外的其他磁盘内文件夹改为病毒副本

• 在w7x32系统下无限弹窗，导致无法正常使用机器

尝试手动查杀

• 结束进程树可以恢复弹窗

• 通过DiskGenius发现，病毒并非直接删除文件，而是将所有文件属性更改为==受系统保护的文件==。

  • 而在系统默认的文件夹和文件搜索选项中，系统保护文件的隐藏是默认开启的，并且独立于普通文件隐藏。

• 通过在被感染文件夹下使用管理员cmd指令attrib -R -S -H /D /S可以恢复文件属性为正常==此处需要注意，根目录下运行，可能会导致，本身就是系统创建的保护文件被设置为普通文件。==

• 之后删除病毒增加的文件即可

• 启动项：删除注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中的msfsa

• 删除文件C:\Windows\tsay.exe以及C:\Windows\ttry.exe

• 即可完成初步的手动查杀。此前提建立在并未重启的情况下

• ==可是我重启了也没事……依旧只是保护和隐藏。== 等之后的逆向分析看看原因。

病毒行为流程逆向分析

自我拷贝并设置单次启动项

• 程序FormCreate函数中，首先再次运行了自己
• 之后判断C盘下是否有指定的文件，没有的话自我拷贝并设置自启
• 之后判断自己是不是系统盘下的C:\windows\tsay.exe如果是，在拷贝一份C:\windows\ttry.exe然后运行

4个计时器中的第一个，文件隐藏

• 第一个计时器首先通过一个函数，遍历磁盘并将可移动介质和固定介质的驱动器作为根目录，创建待遍历的字符串列表

• 之后将将遍历根目录逐一取出并进行进一步遍历

• 在处理函数内，病毒首先跳过了部分系统文件

• ==之后将其他文件属性设置为系统保护和隐藏==
• 而后将病毒副本以感染的文件夹名作为名称拷贝到被感染目录，以模仿被感染文件夹。

第二个定时器，文件删除

• 首先获取了时间判断时间年份是否位于2009年后，月份是否位于2月后。

  

• 在这之后时间中每月的1日、10日、21日、29日均会执行文件删除操作

  

• 目录同样不会放过

第三个，设置资源管理器不显示文件尾缀和隐藏文件

• 使用注册表Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced中的HideFileExt和Hidden设置，不显示文件扩展名和不显示隐藏文件

第四个，创建incaseformat.log文件

• 在所有驱动器根目录下创建incaseformat.log文件

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课